超4400万微软用户账户易受黑客攻击

近日，据外媒securityaffairs披露，微软发现因使用泄露了的密码，有4400万个微软Azure AD和Microsoft Services账户容易遭到黑客劫持。

据悉，微软威胁研究团队的专家分析了一个数据库，其中包含来自不同安全漏洞的30亿个泄露凭证。

“微软威胁研究小组检查了从不同泄露事件中获取的数十亿个凭证，来查找微软系统中的受损凭证。“微软在帖子中写道，“到目前为止，2019年，威胁研究团队检查了超过30亿个凭据，找到超过4400万个Azure AD和Microsoft Services账户的匹配项。”

对于数据库中属于其用户的每个凭证，微软强制重设泄露的密码，并建议用户尽可能使用MFA。

MFA，又称多因素认证，它是一种计算机访问控制的方法。用户需通过两种以上的认证机制后，才能得到授权，使用计算机资源。

由于在多种服务上重用密码和使用弱密码的习惯，微软用户的账户非常容易受到黑客攻击。

微软声称，一旦启用MFA（多因素认证）就可以阻止99.9%的身份攻击，从而大大提高账户的安全性。

”一旦威胁者在野掌握了泄露凭证，“报告表示，”它们就可以尝试执行重放攻击。在这种攻击中，攻击者会在不同的服务账户上尝试使用相同凭证，来查看是否存在匹配项。“

微软敦促Azure用户使用MFA（多因素认证），并提供相应的解决方案来保护客户免受威胁和攻击。（将用户标记为高风险并通知管理员强制执行密码重置）

在个人用户方面，微软会找到相匹配的泄露凭证，并强制重置密码。因此，个人用户无需采取其他措施。

在企业方面，微软则会提高用户安全风险并警告管理员，从而可以很快执行凭证重置。

事实上，密码一直是个影响安全的重要问题，这包括人们经常使用弱密码或重用密码。以弱密码为例，在2018年最糟糕的密码排行榜中，“123456”排名第一。其他比较糟糕的密码，还包括password、123456789、12345678、12345、111111、1234567、sunshine、qwerty、iloveyou等。

同时，人们还喜欢多个账户使用同一个密码。一旦黑客掌握它，就可以进行不断尝试，安全风险非常高。

据了解，像 Mozilla 或 Google 这样的公司都引入了改善密码使用的功能。2019年2月，谷歌发布其密码检查扩展程序，并于 2019 年 8 月开始将其集成到浏览器中。并且，该公司还于 2019 年在其网站上推出针对 Google 帐户的新密码检查功能。

而 Mozilla 则将 Firefox Monitor 集成到 Firefox Web浏览器中，该 Web 浏览器旨在检查弱密码并监视密码是否被泄漏。此外，使用独立密码管理器的计算机用户也可以根据泄漏数据库检查密码。